viernes, 17 de abril de 2015

Gestión y gobierno de la seguridad de la información. Dos conceptos complementarios para comprender la inevitabilidad de la falla.


Introducción
En un mundo interconectado, con un cambio acelerado de mentalidad, con una densidad digital creciente (Káganer, Zamora y Sieber, 2013) y con una invasión permanente de artefactos digitales (Ullrich, 2015), la seguridad de la información no tiene más salida que repensarse y transformarse para atender los retos de la convergencia tecnológica.
 
Lo anterior supone que debe sospechar de la manera como actualmente entiende el mundo y dar el paso para cambiar el marco de referencia desde donde viene dando sus explicaciones. Las certezas que se buscaban en la aplicación estándares conocidos, comienzan a ser confrontadas por una incertidumbre estructural que revela tendencias y posibilidades, cuyos efectos aún no se han podido calcular.
 
Así las cosas, se hace necesario aumentar la capacidad de asombro de los ejecutivos de seguridad de la información, para que puedan leer en las situaciones de vulnerabilidad y error, la posibilidad para plantear coberturas inexistentes en los marcos de riesgos y controles y así, continuar su permanente postura de estudiantes de la inseguridad, siguiendo como libro guía la dinámica de la organización y sus relaciones con el entorno.
En este sentido, se detalla en este artículo algunas consideraciones relevantes ente gestión y gobierno como una excusa académica para dar cuenta de las condiciones y exigencias de ambos conceptos, los cuales, revisados en la práctica de seguridad de la información, consolidan una postura complementaria que introduce competencias novedosas para aquellos que han decido aceptar el tribunal natural de los incidentes de seguridad con decoro y altura y así, demostrar que la confianza sólo es posible cuando soy capaz de reconocerme débil y necesitado.
 
Conceptualizando la gestión y el gobierno
En la actualidad hay expresiones que nos hablan de la forma como estamos enfrentando el reto de dirigir y movilizar organizaciones, para que alcancen sus objetivos, muchas veces usando indistintamente los términos, sin advertir las diferencias conceptuales subyacentes en cada una de ellas. Gestión y Gobierno, son dos de esas palabras que han sido utilizadas de manera intercambiada, lo cual ha generado lecturas, muchas veces inadecuadas, de las actividades propias de cada uno de estos conceptos.
 
Si miramos la gestión, estamos recabando en actividades que buscan disminuir la incertidumbre y hacer predecible los resultados de un proceso. La gestión trata de alinear la ejecución de las actividades respecto de un referente y sus entregables, para motivar una ejecución de excelencia que esté mediada por una verificación y mejora continua para asegurar el menor número de defectos en el desarrollo de sus actividades.
 
Un modelo de gestión, es un reto táctico, es un reto de aseguramiento de comportamientos, de actividades y estándares, que nos indican la mejor forma de hacer las cosas. Cumplir con los requisitos mínimos de este hacer, nos permite enfocarnos en alcanzar resultados concretos de manera ágil y con el menor nivel de desviaciones, las cuales necesariamente comprometen el resultado y advierten una falla en los entregables previstos.
 
Ejemplos concretos de esta vista de la gestión están representados en los modelos Deming (PHVA) en 1952, Malcolm Baldrige en 1987 y EFQM en 1992. La aplicación de todos estos modelos ha permitido a grandes empresas alcanzar niveles de excelencia en la ejecución y logro de sus objetivos corporativos. Sus prácticas estandarizadas aseguran que las personas de las organizaciones cumplen una serie de requisitos que llevan a los resultados esperados. No tener prácticas referentes como estas, nos aleja de un ejercicio virtuoso de gestión que fomente la formación de una cultura de aseguramiento y cumplimiento que mantiene la vista exitosa de las empresas modernas.
 
Un modelo de gestión en general desarrolla en su interior un ciclo fuerte de regulación (Hoverstadt, 2008), que busca cercar la incertidumbre y las dudas, para hacer previsible los resultados, motivando ante las desviaciones, un análisis causa-raíz que activa el fundamento de la mejora continua. La fortaleza de la regulación les da a las personas en su ejecución mayor sensación de control y predictibilidad que hace que se disminuyan las tensiones por el resultado, como quiera que si se cumple con lo especificado en la lista de actividades estándares, no habrá duda para tener efecto deseado.
 
Mientras los modelos de gestión, a través de actividades concretas y específicas, aseguran los entregables previstos, los modelos de gobierno se fundan en medio de la incertidumbre para tratar de navegar en medio de tensiones, intereses y presiones políticas para alcanzar su misión: conducir la nave que tiene a cargo, a través de caminos inciertos e inesperados, para lograr los objetivos propuestos, privilegiando el bien general sobre el bien particular.
 
Las juntas directivas son eminentemente políticas, es decir, confrontan de manera permanente los embates de las fuerzas contradictoras de los participantes de un sector, para posicionar a la organización en lugares privilegiados, explorando su entorno, no para dejar que el ambiente moldee sus destinos, sino crear nuevas propuestas que cambien su entorno. Así las cosas, los miembros de junta deben revestirse de habilidades particulares para leer con sabiduría las alertas de su ambiente, analizar las posibilidades y catalizadores claves, en pocas palabras tener el olfato para ver realidades emergentes y percepción aguda para dar cuenta de las nuevas condiciones del entorno.
 
Los modelos de gobierno se concentran en los ciclos de adaptación (Hoverstadt, 2008), en la forma como son capaces de ver el afuera y el mañana, bien para confirmar la identidad de la organización, o para proponer los cambios requeridos que le permitan mantenerse en el largo plazo. En consecuencia, los ejecutivos de primer nivel deben mantener una mente curiosa, flexible, concentrada en el futuro, centrada en las oportunidades, abierta las contradicciones y dispuesta a conectar los puntos, para cambiar el rumbo de los acontecimientos en su organización y crear la nueva propuesta en su entorno que defina y confirme el nuevo y jugador estratégico que es en este contexto (Collis, 2010).
 
Por lo anterior, a diferencia de los modelos de gestión, los modelos de gobierno están fundados sobre el tratamiento y comprensión de la incertidumbre, en la vista global y sistémica de las cosas, con el fin de leer las alertas tempranas de su ambiente y así provocar nuevas ideas recombinando la información disponible, en búsqueda de anomalías, contradicciones o rarezas (Charan, 2015). En este ejercicio, la sabiduría del gobernante estará en poder advertir y discernir los diferentes ángulos de reflexión disponibles para darle forma al nuevo camino que debe emprender la empresa.
 
Tabla No.1 Gestión y Gobierno (autoría propia)
 
Gestión y gobierno en seguridad de la información
Basado en la reflexión conceptual previa relacionada con la gestión y el gobierno aplicado de manera general en una empresa, procedemos a indagar sobre esta misma temática desde las prácticas de la seguridad de la información.
 
Los estándares conocidos como la serie 27001 y las guías del NIST respecto de la seguridad de la información, cumple con lo establecido en las características de los modelos de gestión referenciados en la Tabla No.1, como quiera que la declaración de aplicabilidad nos establece los focos que debemos asegurar para motivar un comportamiento diferente y ajustado a lo que la organización espera de la seguridad de la información, que en general responde a un imaginario donde los incidentes son las manifestaciones de la debilidad de modelo y revelan las fallas de la gestión que deben ser corregidas y aseguradas desde el mejoramiento continuo.
 
En este sentido, en un entorno volátil, incierto, complejo y ambiguo (VICA), el modelo regulatorio nos permite continuar operando al interior de la empresa, de una manera virtuosa y organizada, no obstante se queda corto para leer y avanzar en medio de la condiciones inesperadas del ambiente, generando un proceso reactivo y postmortem, que recompone sus prácticas sólo cuando las desviaciones hacen su aparición y se ajustan luego de un análisis causa raíz.     
 
Por tanto, el gobernante de la seguridad de la información debe leerse a sí mismo como un estudiante permanente de la realidad circundante, que sin descuidar la ejecución virtuosa de las prácticas de seguridad y control basada en estándares, se apalanca en pedagogías emergentes que van más allá de la adquisición de conocimientos o de habilidades concretas, para ver en la inevitabilidad de la falla oportunidades para lograr cambios significativos en la manera de entender su entorno; asumir riesgos intelectuales no convencionales y transitar por caminos no trillados; y encontrar el margen de tolerancia de las fallas que permita capitalizar aprendizajes emergentes (lecciones aprendidas): aquellos no prescritos por los saberes tradicionales (Gros, 2015).
 
Asumir un gobierno de la seguridad de la información cumpliendo con las características expuestas en la figura No.1, demanda la formulación de una serie de competencias complementarias a las técnicas, de comunicación, asertivas y de ventas, propias y necesarias en el ejecutivo de seguridad de la información, para delinear un discurso eficaz y sensible al escenario político de las juntas directivas, que intervenga la dinámica de las reflexiones sobre el futuro de la organización, para crear quiebres conceptuales sobre la estrategia empresarial desde la realidad de aquello clave y sensible que otros quieren de la empresa.
 
Las competencias complementarias sugeridas en este sentido son: (Cano, 2015)
·  Desarrolla pensamiento crítico para analizar y seleccionar los modelos y prácticas de seguridad de la información, más adecuados, considerando los objetivos estratégicos del negocio y las expectativas de la alta gerencia. 
·  Establece y prioriza las amenazas y riesgos de seguridad de la información para diagnosticar, evaluar y comunicar el nivel de exposición de la empresa, a través de métodos tradicionales y modernos considerando la dinámica del entorno actual.
·  Monitoriza la promesa de valor del modelo y prácticas de seguridad de la información para tomar las decisiones oportunas y pertinentes requeridas, considerando las desviaciones o lecciones aprendidas tanto de los incidentes de seguridad como de los cambios del entorno.
·  Negocia y establece con los ejecutivos corporativos las estrategias de rendición de cuentas del programa de seguridad de la información para identificar y seleccionar los escenarios y las métricas más adecuadas considerando las prácticas y estándares relevantes en la gestión de seguridad de la información.
·  Desarrolla una visión estratégica y táctica de la seguridad de la información en el contexto empresarial, para anticipar y renovar los modelos y prácticas de seguridad y control considerando los retos corporativos de mediano y largo plazo, así como los impactos de las amenazas y riesgos emergentes identificados.
 
El gobierno de la seguridad de la información necesariamente requiere ir a la ofensiva, a la lectura permanente del entorno y alcanzar posiciones estratégicas en situaciones inesperadas, pues quedarse a la defensiva (ciclo de regulación basado en estándares) implica retroceder en sus retos y exigencias corporativas para crear escenarios valiosos para la visión empresarial de mediano y largo plazo.
 
No es posible advertir un gobierno de la seguridad de la información basado exclusivamente en un ciclo de regulación, cuando la realidad circundante nos advierte  constantemente de alertas y signos de cambios y contradicciones que ponen en evidencia la incertidumbre, las debilidades y las fallas de nuestros modelos conceptuales. Así las cosas, es necesario comprender la vista complementaria expuesta en la tabla No.1 donde el gobierno, ante todo, es una búsqueda permanente de nuevos retos y estándares de excelencia que propone un camino para posicionar una visión en medio de contradicciones, inestabilidades y rarezas propias del entorno.
 
Reflexiones finales
Queda claro que el ciclo de regulación no es suficiente para dar cuenta con el escenario VICA que tenemos a la fecha. De igual forma, se hace manifiesto que el ciclo de adaptación establece de manera complementaria la vista requerida para aumentar la capacidad de respuesta de las organizaciones respecto de su ambiente.
 
Así las cosas, la gestión y el gobierno son realidades complementarias que habilitan a los ejecutivos empresariales no sólo a velar por los indicadores de sus procesos, sino por la forma de observar las relaciones actuales y emergentes, con el fin anticipar escenarios posibles y probables que pueden afectar y transformar el imaginario vigente en la cultura de la empresa.
 
Hacer la lectura de estos dos conceptos en el contexto de la seguridad de la información, motiva la necesidad de un entendimiento alterno e introduce reflexiones más elaboradas sobre el gobierno de la seguridad de la información, que liberen al responsable empresarial de la seguridad de la información de las presiones propias de la pedagogía del éxito y las reemplace por las experiencias enriquecidas y novedosas que se adquieren desde la pedagogía del error (De la Torre, 2004).
 
En este contexto, la confianza que requiere la información, no estará asociada al cumplimiento de requisitos de aplicabilidad, ni en la manera como se cierran las brechas de gestión identificadas, sino a las oportunidades de nuevos entendimientos y conocimientos que podemos explorar por la revelación de una falla, lo que genera un insumo valioso para transformar la práctica actual y realimentar el circulo virtuoso donde corren las normas ISO y sus similares.
 
Cuando nos encontramos con una reflexión convergente y sistémicamente provocadora como lo es la esencia del gobierno, en los términos de este artículo, se descubren realidades anidadas que requieren un análisis en profundidad de sus relaciones, para luego devolvernos y realizar un diagnóstico que no estará aislado de las condiciones del entorno, sino que podrá dar razón de los planes de la organización para leer los activos de información relevantes de su operación en clave estratégica, esto es, dibujar la vista global pertinente para los objetivos de la empresa y así, priorizar las acciones necesarias y negociar los elementos requeridos para actuar en consecuencia.
 
Por tanto, el gobierno de la seguridad de la información demanda una puesta a tono de los talentos en el ejecutivo de seguridad de la información, como quiera que sólo en la incertidumbre, la debilidad y las fallas puede encontrar la tensión creativa permanente que lo mantenga atento a los resultados de la gestión y concentrado en la transformación y posicionamiento empresarial, creando posiciones disruptivas que anticipen y aprovechen posibles singularidades de la inevitabilidad de la falla.
 
Referencias
Charan, R. (2015) The attacker’s advantage. Turning uncertainty into breakthrough opportunities. Philadelphia, USA: Perseus Books Group.
Goodman, M. (2015) Future crimes. Everything is connected, everyone is vulnerable and what we can do about it. New York, USA: Doubleday.
Collis, D. (2010) Thinking strategically. Pocket Mentor. Boston, USA: Harvard Business Press
Gros, B. (2015) La caída de los muros del conocimiento en la sociedad digital y las pedagogías emergentes. Revista Education Knowledge Society. 16, 1,58-68.
Cano, J. (2015) Anotaciones sobre las competencias de los responsables de la seguridad de la información. Un ejercicio de resiliencia personal y supervivencia corporativa. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com/2015/02/anotaciones-sobre-las-competencias-de.html
Káganer, E., Zamora, J. y Sieber, S. (2013) Cinco habilidades del líder digital. IESE Insight. No.18. Tercer trimestre.
Ullrich, J. (2015) New cyberthreats: Defending against the digital invasion. Abril. Recuperado de: http://searchsecurity.techtarget.com/feature/New-cyberthreats-Defending-against-the-digital-invasion
Hoverstadt, P. (2008) The fractal organization. Creating sustainable organizations with viable system model. Chichester, West Susex. UK: John Wiley & Sons.
De la Torre, S. (2004) Aprender de los errores. El tratamiento didáctico de los errores como estrategias innovadoras. Buenos Aires: Ed. Magisterio del Río de la Plata.